WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-8479 | WordPress 用 The Simple Spoiler プラグインは、バージョン 1.2 から 1.3 において、任意のショートコードを実行される脆弱性があります。これはプラグインが add_filter('comment_text', 'do_shortcode'); というフィルタを追加し、コメント内のすべてのショートコードを実行するためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2024-12-23 03:00:09.671157 |
| CVE-2024-8246 | WordPress 用の Post Form - Registration Form - Profile Forms for User Profiles - Frontend Content Forms for User Submissions (UGC) プラグインは、2.8.11 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これは、プラグインが登録フォームのデフォルトのロールを設定するためにアクセスできるユーザを適切に制限していないためです。このため、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、管理者として登録できるカスタムロールを持つ登録フォームを作成することが可能になってしまいます。 | 8.8 |
CVE 2024-12-23 03:00:09.670420 |
| CVE-2024-8271 | The FOX - Currency Switcher Professional for WooCommerce plugin for WordPress には、1.4.2.1 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、'woocs_get_custom_price_html' 関数の do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2024-12-23 03:00:09.669575 |
| CVE-2022-3459 | WordPress 用 WooCommerce Multiple Free Gift プラグインは、1.2.3 までのすべてのバージョンにおいて、ギフト操作の脆弱性があります。これは、プラグインがギフトとして追加可能な製品のサーバ側チェックを強制していないためです。これにより、認証されていない攻撃者が、ギフトではない商品をギフトとしてカートに追加することが可能になってしまいます。 | 5.3 |
CVE 2024-12-23 03:00:09.666165 |
| CVE-2024-8747 | WordPress 用の Email Obfuscate Shortcode プラグインは、2.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'email-obfuscate' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.559084 |
| CVE-2024-8737 | WordPress 用 PDF Thumbnail Generator プラグインは、1.3 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、ページ内に任意のウェブスクリプトを注入して実行させることが可能です。 | 6.1 |
CVE 2024-12-22 09:00:37.558478 |
| CVE-2024-8734 | WordPress 用 Lucas String Replace プラグインは、2.0.5 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能です。 | 6.1 |
CVE 2024-12-22 09:00:37.557856 |
| CVE-2024-8732 | WordPress 用 Roles & Capabilities プラグインは、1.1.9 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 09:00:37.557169 |
| CVE-2024-8731 | WordPress 用 Cron Jobs プラグインは、1.2.9 までの全てのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 09:00:37.556525 |
| CVE-2024-8730 | WordPress 用 Exit Notifier プラグインは、1.9.1 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合に、ページ内に任意のウェブスクリプトを注入して実行させることが可能になります。 | 6.1 |
CVE 2024-12-22 09:00:37.555824 |
| CVE-2024-8714 | WordPress Affiliates Plugin - SliceWP Affiliates plugin for WordPress は、1.1.20 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 09:00:37.555044 |
| CVE-2024-8269 | WordPress 用プラグイン MStore API - Create Native Android & iOS Apps On The Cloud には、4.15.3 までのすべてのバージョンにおいて、不正なユーザー登録の脆弱性があります。これは、register() 関数を使用してユーザーアカウントを作成する前に、プラグインがユーザー登録を有効にしているかどうかをチェックしないことが原因です。このため、ユーザー登録が無効でプラグインの機能が有効になっていない場合でも、認証されていない攻撃者がサイトにユーザーアカウントを作成することが可能です。 | 7.3 |
CVE 2024-12-22 09:00:37.554376 |
| CVE-2024-8242 | MStore API - Create Native Android & iOS Apps On The Cloud plugin for WordPress は、4.15.3 までのすべてのバージョンにおいて、update_user_profile() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイル (PHP ファイルを除く) をアップロードすることが可能となり、リモートでコードを実行される可能性があります。この問題を悪用するために、認証されていないユーザが登録エンドポイントを使用することが可能です。 | 4.3 |
CVE 2024-12-22 09:00:37.553675 |
| CVE-2024-7423 | WordPress 用 Stream プラグインには、4.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、network_options_action() 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。これにより、認証されていない攻撃者が任意のオプションを更新することが可能となり、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができます。 | 8.8 |
CVE 2024-12-22 09:00:37.552932 |
| CVE-2024-6544 | WordPress 用 Custom Post Limits プラグインは、4.4.1 までのすべてのバージョンにおいて、フルパス公開の脆弱性があります。これはプラグインが bootstrap を利用し、display_errors がオンのテストファイルを残しているためです。これにより、認証されていない攻撃者がウェブアプリケーションのフルパスを取得することが可能となり、他の攻撃に利用される可能性があります。表示される情報はそれだけでは役に立たず、影響を受けるウェブサイトに損害を与えるためには、別の脆弱性が存在する必要があります。 | 5.3 |
CVE 2024-12-22 09:00:37.552172 |
| CVE-2024-5884 | WordPress 用の Beauty テーマは、1.1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tpl_featured_cat_id' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.551436 |
| CVE-2024-5870 | WordPress 用の Tweaker5 テーマには、入力のサニタイズと出力のエスケープが不十分なため、1.2 までのすべてのバージョンにおいて、テーマの Button ショートコード内の 'url' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.550585 |
| CVE-2024-5869 | WordPress 用テーマ Neighborly には、入力のサニタイズと出力のエスケープが不十分なため、1.4 までのすべてのバージョンにおいて、テーマの Button ショートコード内の 'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.549933 |
| CVE-2024-5867 | WordPress用テーマ「Delicate」は、入力のサニタイズと出力のエスケープが不十分なため、3.5.5までのすべてのバージョンにおいて、テーマのButtonショートコード内の「link」パラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.549264 |
| CVE-2024-5789 | WordPress用テーマ「Triton Lite」には、入力のサニタイズと出力のエスケープが不十分であるため、1.3までのすべてのバージョンにおいて、テーマのButtonショートコード内の「url」属性を経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 09:00:37.548545 |
| CVE-2022-2446 | WordPress 用 WP Editor プラグインは、1.2.9 までのバージョンにおいて、 'current_theme_root' パラメータ経由で信頼できない入力をデシリアライズする脆弱性があります。このため、管理者権限を持つ認証済みの攻撃者が PHAR ラッパーを使用してファイルを呼び出すことが可能です。PHAR ラッパーは任意の PHP オブジェクトをデシリアライズして呼び出します。また、攻撃者がシリアライズされたペイロードを含むファイルのアップロードに成功する必要があります。 | 7.2 |
CVE 2024-12-22 09:00:37.545763 |
| CVE-2024-8742 | Essential Addons for Elementor - Best Elementor Addon, Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、6.0.3 までのすべてのバージョンにおいて、プラグインのフィルタブルギャラリーウィジェットを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-12-22 03:00:11.961767 |
| CVE-2024-8665 | WordPress 用 YITH Custom Login プラグインは、1.7.3 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 03:00:11.961115 |
| CVE-2024-8664 | WordPress 用 WP Test Email プラグインは、1.1.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 03:00:11.960196 |
| CVE-2024-8663 | WordPress 用 WP Simple Booking Calendar プラグインは、2.0.10 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg & remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-12-22 03:00:11.958725 |
| CVE-2024-7888 | Classified Listing - Classified ads & Business Directory Plugin plugin for WordPress は、3.1.7 までのすべてのバージョンにおいて、export_forms(), import_forms(), update_fb_options() などの関数の機能チェックが欠落しているため、不正アクセスの可能性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、フォームやその他のさまざまな設定を変更することが可能になってしまう。 | 6.3 |
CVE 2024-12-22 03:00:11.958101 |
| CVE-2024-5567 | WordPress 用 Betheme テーマには、27.5.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2024-12-22 03:00:11.957393 |
| CVE-2024-7864 | 2.1以前のFavicon Generator (CLOSED) WordPressプラグインは、output_sub_admin_page_0()関数においてCSRFおよびパスバリデーションを行っていないため、攻撃者はログインした管理者にサーバー上の任意のファイルを削除させることができる。 | 6.5 |
CVE 2024-12-22 03:00:11.956531 |
| CVE-2024-7133 | 2.7.3以前のFloating Notification Bar, Sticky Menu on Scroll, Announcement Banner, Sticky Header for Any WordPressプラグインは、ページ内に出力する前にその設定の一部を検証およびエスケープしていないため、高いロールを持つユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-12-22 03:00:11.954661 |
| CVE-2024-7129 | Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin WordPressプラグイン1.6.7.43以前のバージョンでは、ユーザー入力を介して提供されるテンプレート構文をエスケープしていないため、Twigテンプレートインジェクションが発生し、さらに悪用されると、管理者などの高権限者によってリモートでコードが実行される可能性があります。 | 7.2 |
CVE 2024-12-22 03:00:11.953792 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.